CN106506449B - 一种未知异常的检测方法、装置及检测设备 - Google Patents
一种未知异常的检测方法、装置及检测设备 Download PDFInfo
- Publication number
- CN106506449B CN106506449B CN201610853837.XA CN201610853837A CN106506449B CN 106506449 B CN106506449 B CN 106506449B CN 201610853837 A CN201610853837 A CN 201610853837A CN 106506449 B CN106506449 B CN 106506449B
- Authority
- CN
- China
- Prior art keywords
- data
- detected component
- preset range
- working state
- extracted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种未知异常的检测方法、装置及检测设备,方法包括:获取被检测部件的检测数据,通过异构功能等价体获取所述检测数据所对应的预设范围,所述异构功能等价体与所述被检测部件的功能相同但结构不同;判断所述检测数据是否在其对应的预设范围之内,如果不在所述预设范围之内,则确定所述被检测部件处于异常状态,进而可以预测该部件的漏洞和后门被触发,所以当被检测部件处于异常状态时,对该部件或设备采取复位或隔离等措施,防止由于漏洞或后门被触发导致其对网络安全产生的危害,提高网络系统的安全性。
Description
技术领域
本发明涉及网络空间安全防护技术领域,尤其涉及一种未知异常的检测方法、装置及检测设备。
背景技术
计算机和由计算机构成的网络空间环境为人们的生活、工作和学习带来了极大的便利,计算机构成的网络空间环境包括网络设备终端(如手机、计算机),运行在终端的与网络相关的软件(如浏览器、通讯软件),服务器,以及为网络提供互连的各种设备(如交换机、路由器)等。网络空间领域中的软硬件装置可以是系统、子系统、部件、模块、构件甚至器件,这些软硬件装置对外呈现的结构状态称为结构表征。
现有网络空间领域给定服务功能的软硬件装置,其外在结构形态与其内部结构形态间存在某种映射关系,且这种映射关系在网络空间领域的技术架构上往往是静态的和确定的。尤其是现有技术中的冗余系统,多是基于同构冗余系统,该同构冗余系统的内在结构及其设计逻辑是相同的,使得在同构冗余调度时,结构表征是相同的,且与同构功能等价体的结构相似并具有静态性。
一般的网络安全检测方法,大多是针对已知的漏洞和后门,然而网络中存在着大量的未知的漏洞和后门,可以被攻击者所利用,并对网络设备实施有效的攻击。因此,如何感知网络设备是否异常,是鉴别网络设备的漏洞和后门是否被触发的一种重要判断依据,尤其是针对未知的漏洞和后门。所以,如何检测输出服务响应的设备是否发生了未知异常是本领域技术人员需要解决的问题。
发明内容
本申请实施例中提供一种未知异常的检测方法、装置及检测设备,以检测工作的部件是否处于异常状态。为了解决上述技术问题,本申请实施例公开了如下技术方案:
第一方面,提供了一种未知异常的检测方法,所述方法包括:
获取被检测部件的检测数据,所述检测数据包括:被检测部件输出的服务响应数据,或被检测部件在处理服务请求的过程中,从所述被检测部件的工作状态中提取的数据,或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据;
通过异构功能等价体获取所述检测数据所对应的预设范围,所述异构功能等价体与所述被检测部件的功能相同但结构不同;
分别判断所述被检测部件的服务响应数据是否在其预设范围之内;或者,判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内,或者,判断所述服务请求数据和所述提取的数据是否均在其预设范围之内;
如果否,则确定所述被检测部件处于异常状态。
进一步地,所述通过异构功能等价体获取所述检测数据所对应的预设范围包括:所述异构功能等价体根据所述服务请求输出服务响应数据,根据所述服务响应数据确定所述被检测部件的服务请求数据的预设范围,或者,所述异构功能等价体在处理所述服务请求的过程中,从该异构功能等价体的工作状态中提取的数据,并根据所述提取的数据确定从所述被检测部件的工作状态中提取的数据的预设范围。
进一步地,如果获取两个或两个以上异构功能等价体输出的服务响应数据,或者,两个或两个以上所述异构功能等价体从其工作状态中提取的数据,则确定所述预设范围包括:获取调度策略;根据所述调度策略从所述至少两个输出的服务响应数据中选择一个作为判断的服务响应数据,或者,根据所述调度策略从所述至少两个工作状态信息中选择一个作为判断的工作状态信息,所述调度策略包括数量择多策略、权重占优策略、随机策略或轮循策略其中的一种或多种组合;并根据所述判断的服务响应数据来确定所述预设范围,或者从所述判断的工作状态信息中提取的数据来确定其对应的预设范围。
进一步地,所述从工作状态中提取的数据具体包括:所述被检测部件在处理服务请求的过程中产生的计算数据,和每个异构功能等价体在所述处理服务请求的过程中产生的计算数据。
第二方面,提供了一种未知异常的检测装置,所述装置包括:
第一获取单元,用于获取被检测部件的检测数据,所述检测数据包括:被检测部件输出的服务响应数据,或被检测部件在处理服务请求的过程中,从所述被检测部件的工作状态中提取的数据,或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据;
第二获取单元,用于通过异构功能等价体获取所述检测数据所对应的预设范围,所述异构功能等价体与所述被检测部件的功能相同但结构不同;
判断单元,用于分别判断所述被检测部件的服务请求数据是否在其预设范围之内;或者,判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内,或者,判断所述服务请求数据和所述提取的数据是否均在其预设范围之内;
确定单元,用于如果否,则确定所述被检测部件处于异常状态。
进一步地,所述第二获取单元具体用于:所述异构功能等价体根据所述服务请求输出服务响应数据,根据所述服务响应数据确定所述被检测部件的服务请求数据的预设范围,或者,所述异构功能等价体在处理所述服务请求的过程中,从该异构功能等价体的工作状态中提取的数据,并根据所述提取的数据确定从所述被检测部件的工作状态中提取的数据的预设范围。
进一步地,如果获取两个或两个以上异构功能等价体输出的服务响应数据,或者,两个或两个以上所述异构功能等价体从其工作状态中提取的数据,则所述第二获取单元还包括:调度策略获取单元,用于获取调度策略;选择单元,用于根据所述调度策略从所述至少两个输出的服务响应数据中选择一个作为判断的服务响应数据,或者,根据所述调度策略从所述至少两个工作状态信息中选择一个作为判断的工作状态信息,所述调度策略包括数量择多策略、权重占优策略、随机策略或轮循策略其中的一种或多种组合;预设范围确定单元,用于并根据所述判断的服务响应数据来确定所述预设范围,或者从所述判断的工作状态信息中提取的数据来确定其对应的预设范围。
相比于现有的采用同构等价体的方式对相同的服务请求进行处理和输出服务响应数据,本实施例通过设置两个以上异构功能等价体,输出数据,不但能够降低由于单个异构功能等价体异常而造成判决被检测部件异常的误报率,而且多个异构功能等价体同时工作能够降低其全部发生异常的概率,有利于检测设备获取更加正确的预设范围,能够降低被检测部件异常的漏报率,进一步了增强网络系统的安全性。
进一步地,所述从工作状态中提取的数据具体包括:所述被检测部件在处理服务请求的过程中产生的计算数据,和每个异构功能等价体在所述处理服务请求的过程中产生的计算数据。
第三方面,还提供了一种检测设备,用于对被检测部件的工作状态进行检测,所述检测设备包括收发器,处理器和至少一个异构功能等价体,其中,所述异构功能等价体与被检测部件的功能相同但结构不同;
收发器,用于获取被检测部件的检测数据,所述检测数据包括:被检测部件输出的服务响应数据,或被检测部件在处理服务请求的过程中,从所述被检测部件的工作状态中提取的数据,或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据;
异构功能等价体,用于根据所述服务请求输出服务响应数据,并将所述服务响应数据以及,在处理所述服务请求的过程中提取的数据,根据所述提取的数据确定的预设范围发送给处理器;
处理器,用于根据所述检测数据和来自异构功能等价体的数据,分别判断所述被检测部件的服务响应数据是否在其预设范围之内;或者,判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内,或者,判断所述服务请求数据和所述提取的数据是否均在其预设范围之内;如果位于所述预设范围之外,则确定所述被检测部件处于异常状态。
进一步地,所述异构功能等价体具体用于,根据所述服务请求输出服务响应数据,根据所述服务响应数据确定所述被检测部件的服务请求数据的预设范围,以及,在处理所述服务请求的过程中,从所述异构功能等价体的工作状态中提取的数据,并根据所述提取的数据确定从所述被检测部件的工作状态中提取的数据的预设范围。
第四方面,还提供了一种计算机存储介质,用于储存为上述内容处理器所用的计算机软件指令,其包含用于执行上述方面为处理器所设计的程序。
本申请实施例提供的一种未知异常的检测方法及装置,通过将被检测设备的检测数据与根据异构功能等价体确定的预设范围进行比较,进而判断该被检测部件的工作状态是否正常,即被检测设备的漏洞和后门是否被触发,尤其是未知的漏洞和后门,这是目前技术难以检测到的,如果被检测部件输出的检测数据不在预设范围之内,则表明该被检测部件处于异常状态,进而可以预测该部件的漏洞和后门被触发,导致这些漏洞和后门容易被攻击者入侵。进一步地,对发生异常的设备采取复位或隔离等措施,防止漏洞或后门被触发导致其对网络安全产生的危害。
此外,由于被检测部件与异构功能等价体的功能相同结构不同,可以认为被检测部件属于一种异构功能等价体,所以通过选择与这些功能相同结构不同的异构功能等价体作为比较对象,使得被比较的数据的预设范围更接近实际正常状态时,被检测部件的输出的检测数据,进一步地提高了比较的准确性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种未知异常检测系统的结构示意图;
图2为本申请实施例提供的一种未知异常的检测方法的流程示意图;
图3为本申请实施例提供的一种未知异常的检测装置的结构框图;
图4为本申请实施例提供的第二获取单元的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。它们仅是与如所述权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
本申请实施例提供的一种未知异常的检测方法、装置及检测设备用于对网络空间中的设备、部件或装置的工作状态进行检查,所述位置未知异常是指被检测的设备、部件或装置所输出的服务响应数据,或者其在输出服务响应数据的过程中产生的数据是否错误,或者偏差是否超过允许的预设范围。所述预设范围可人工设置被检测数据的浮动区间。
图1是一种未知异常检测系统的结构示意图,该系统包括一种检测设备100和被检测部件110,其中,所述检测设备100包括收发器102,处理器103和至少一个异构功能等价体101,其中,所述异构功能等价体101与被检测部件的功能相同但结构不同。
收发器102分别与处理器103,异构功能等价体101和被检测部件110相连接,用于接收来自设备100内部和被检测部件110的数据和信息。
具体地,收发器102用于获取被检测部件110的检测数据,所述检测数据包括:被检测部件110输出的服务响应数据,或被检测部件110在处理服务请求的过程中,从所述被检测部件110的工作状态中提取的数据,或被检测部件110输出的服务响应数据和从所述被检测部件110的工作状态中提取的数据。
该外部服务请求可以是由外部设备给出的或是人为给定的,例如:内存访问、路由计算、web请求等。
被检测部件110与异构功能等价体101的功能相同但结构不同。所述工作状态是描述被检测部件110在处理服务请求过程中的某一时刻所处状态的一组数据,例如,如果被检测部件110是一个路由器,其工作状态可以用其内的路由表(一组数据)来表示。所述被检测部件110可以是路由器、服务器、处理器、交换机、存储器等信息设备。
异构功能等价体101,用于根据所述服务请求输出服务响应数据,并将所述服务响应数据以及,在处理所述服务请求的过程中提取的数据,根据所述提取的数据确定的预设范围发送给处理器103;
异构功能等价体101在根据服务请求提供服务的功能上具有等价性,但每个异构功能等价体在下述方面具有异构性:
第一、关键算法不同,该关键算法包括流表规则匹配算法、文件系统页分配算法等;
第二、实现方式不同,例如数据结构、编程语言、编译选项、软件架构、硬件加速方式等实现方式;
第三、运行环境不同,例如操作系统类型版本、硬件体系结构环境等。
处理器103,用于根据所述检测数据和来自异构功能等价体101的数据,分别判断所述被检测部件110的服务响应数据是否在其预设范围之内;或者,判断所述被检测部件110的工作状态中提取的数据是否在其预设范围之内,或者,判断所述服务请求数据和所述提取的数据是否均在其预设范围之内;如果位于所述预设范围之外,则确定所述被检测部件110处于异常状态;如果检测数据位于预设范围之内,则表明该被检测部件110工作正常。
如图2所示,为本实施例提供了一种未知异常的检测方法的流程图,用于对网络系统中的异构功能等价体101,或者网络设备进行检测,该方法包括如下步骤:
步骤201:被检测设备获取被检测部件110的检测数据。
所述检测数据包括:被检测部件110输出的服务响应数据,或被检测部件110在处理服务请求的过程中,从所述被检测部件110的工作状态中提取的数据,或被检测部件110输出的服务响应数据和从所述被检测部件110的工作状态中提取的数据。
所述从工作状态中提取的数据具体包括:从被检测部件110在处理服务请求的过程中产生的计算数据,并提取这些计算数据。
步骤202:通过异构功能等价体101获取所述检测数据所对应的预设范围,所述异构功能等价体101与所述被检测部件110的功能相同但结构不同。
可选的,通过异构功能等价体101获取所述检测数据所对应的预设范围包括:
所述异构功能等价体101根据所述服务请求输出服务响应数据,根据所述服务响应数据确定所述被检测部件110的服务请求数据的预设范围,或者,所述异构功能等价体101在处理所述服务请求的过程中,从该异构功能等价体101的工作状态中提取的数据,并根据所述提取的数据确定从所述被检测部件110的工作状态中提取的数据的预设范围。
在步骤201中获取的服务响应数据,和从被检测部件工作状态中提取的数据分别对应一个预设范围,具体地,该预设范围通过与其功能相同结构不同的异构功能等价体获得,选择与被检测部件功能相同但结构不同的异构功能等价体处理相同的服务请求,并采集该异构功能等价体输出的服务响应数据,以及该异构功能等价体在处理服务请求过程中提取的数据,根据这些数据在设置一个上下允许的浮动值,最后形成被比较的预设范围。
步骤203:分别判断所述被检测部件的服务响应数据是否在其预设范围之内;或者,判断所述被检测部件的工作状态中提取的数据是否在与其对应的异构功能等价体的预设范围之内,或者,判断所述服务请求数据和所述提取的数据是否均在各自所对应的预设范围之内。
其中触发判断的条件包括两种,第一种条件是,被检测部件每接收到一个服务请求,并输出一组检测数据给处理器,同样将该服务请求发送给异构功能等价体,使异构功能等价体也输出一组检测数据,检测设备的处理器接收到这两组数据后,触发判断比较操作;第二种情况是,预先设置时间间隔,或时间段,在所述时间间隔或时间段结束后作为触发判断的时刻条件,例如,如果预设时间间隔为2分钟,则处理器每2分钟触发一次检测判断操作。
所述从工作状态中提取的数据具体包括:从每个异构功能等价体在所述处理服务请求的过程中产生的计算数据,并提取这些计算数据。
步骤204:如果所述检测数据中有一个数据位于预设范围之外时,则确定所述被检测部件处于异常状态。
所述异常状态是指从该被检测部件获取的检测数据超出正常允许范围内,即表明该被检测部件的漏洞和后门被触发,导致其输出的服务响应数据以及运算过程中提取的数据出现错误。
例如,对于一个被安置了后门的路由器,当该路由器接收到触发其后门的指令之后,将会生成错误的路由表项(路由器的状态发生了异常),将网络中的一些数据转发给网络攻击者,使得攻击者能够根据转发的这些数据窃取网络中的信息,威胁网络安全。
本实施例提供的一种未知异常的检测方法,通过将被检测设备的检测数据与根据异构功能等价体确定的预设范围进行比较,进而判断该被检测部件的工作状态是否正常,即被检测设备的漏洞和后门是否被触发,尤其是未知的漏洞和后门,这是目前技术难以检测到的,如果被检测部件输出的检测数据不在预设范围之内,则表明该被检测部件处于异常状态,进而可以预测该部件的漏洞和后门被触发,导致这些漏洞和后门容易被攻击者入侵。进一步地,对发生异常的设备采取复位或隔离等措施,防止漏洞或后门被触发导致其对网络安全产生的危害,提高了网络系统的安全性。
此外,由于被检测部件与异构功能等价体的功能相同结构不同,可以认为被检测部件属于一种异构功能等价体,所以通过选择与这些功能相同结构不同的异构功能等价体作为比较对象,使得被比较的数据的预设范围更接近实际正常状态时,被检测部件的输出的检测数据,进一步地提高了比较的准确性。
在另一个实施例中,如果有两个或者两个以上异构功能等价体满足与被检测部件功能相同结构不同,则这些异构功能等价体均对所述服务请求进行处理,并输出服务请求数据和工作状态数据,那么上述步骤202,如果获取两个或两个以上异构功能等价体输出的服务响应数据,或者,两个或两个以上所述异构功能等价体从其工作状态中提取的数据,则确定所述预设范围包括:
步骤301:被检测设备获取来自外部或者其内部生成的调度策略;
步骤302:被检测设备获根据所述调度策略从所述至少两个输出的服务响应数据中选择一个作为判断的服务响应数据,或者,根据所述调度策略从所述至少两个工作状态信息中选择一个作为判断的工作状态信息。
所述调度策略包括数量择多策略、权重占优策略、随机策略或轮循策略其中的一种或多种组合;其中数量择多策略是指通过投票表决,选择数量上占多数的结果作为输出;权重占优策略是指每个异构功能等价体具有一定的权重系数,选择权重系数和占优的结果作为输出;轮循策略是指轮流选择一个异构功能等价体的结果作为输出。
步骤303:并根据所述判断的服务响应数据来确定所述预设范围,或者从所述判断的工作状态信息中提取的数据来确定其对应的预设范围。
本实施例中通过调度策略,从多个异构功能等价体中输出的服务响应数据和在处理服务请求过程中工作状态提取的数据,确定进行比较的预设范围,具有两点有益效果:一是通过多个异构功能等价体共同表决结果,能够降低由于异构功能等价体异常而造成判决被检测部件异常的误报率,提高判断被检测部件是否异常的准确性;二是多个异构功能等价体同时工作能够降低其全部发生异常的概率,有利于检测设备获取更加正确的预设范围,能够降低被检测部件异常的漏报率。
当检测出被检测部件的工作状态出现异常,可以对被检测部件采取复位、清洗、隔离等措施,防止网络信息被窃取和盗用,进一步地提高了系统的安全性和防御力。
在一个具体的实施例中,例如,对于互联网中的一台路由器,例如思科路由器,选择其作为被检测部件,而选择与其具有相同功能结构不同的异构功能等价体,例如:中兴的路由器、华为的路由器以及烽火的路由器等,获取并比较的数据是这些路由器在工作过程中产生的路由表项。当思科的路由器遭受攻击时,发生异常,会产生错误的路由表项,而其余的中兴、华为、烽火的路由器有可能对本次攻击免疫,仍能够正常工作,进而能够根据外部的服务请求输出正确的路由表项。此时,检测设备的处理器通过比较两者的路由表项,会发现思科的路由表项与其余的不一致,则认定该思科路由器发生异常,进而,可以指导网管采取措施,对思科路由器进行复位或隔离,防止其对网络造成危害。
相比于现有的采用同构等价体,所述同构等价体是指与被检测部件功能相同且结构也相同的等价体。例如被选择的异构功能等价体也都是思科路由器,则如果其中一个路由器的后门被触发或探测,则其余的思科路由器也容易被攻击和探测,进而不能检测出被检测的思科路由器是否处于正常状态,因此,选择功能相同结构不同的异构功能等价体作为判断和获取预设范围的数据来源,能够降低由于异构功能等价体异常而造成误报率和漏报率。
本申请另一个实施例中还提供了一种未知异常的检测装置,如图3所示,所述装置包括:
第一获取单元301,用于获取被检测部件的检测数据,所述检测数据包括:被检测部件输出的服务响应数据,或被检测部件在处理服务请求的过程中,从所述被检测部件的工作状态中提取的数据,或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据;
第二获取单元302,用于通过异构功能等价体获取所述检测数据所对应的预设范围,所述异构功能等价体与所述被检测部件的功能相同但结构不同;
判断单元303,用于分别判断所述被检测部件的服务请求数据是否在其预设范围之内;或者,判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内,或者,判断所述服务请求数据和所述提取的数据是否均在其预设范围之内;
所述从工作状态中提取的数据具体包括:所述被检测部件在处理服务请求的过程中产生的计算数据,和每个异构功能等价体在所述处理服务请求的过程中产生的计算数据。
确定单元304,用于如果否,则确定所述被检测部件处于异常状态。
进一步地,所述第二获取单元302具体用于:所述异构功能等价体根据所述服务请求输出服务响应数据,根据所述服务响应数据确定所述被检测部件的服务请求数据的预设范围,或者,所述异构功能等价体在处理所述服务请求的过程中,从该异构功能等价体的工作状态中提取的数据,并根据所述提取的数据确定从所述被检测部件的工作状态中提取的数据的预设范围。
进一步地,如图4所示,如果获取两个或两个以上异构功能等价体输出的服务响应数据,或者,两个或两个以上所述异构功能等价体从其工作状态中提取的数据,则所述第二获取单元302还包括:
调度策略获取单元3021,所述调度策略获取单元用于获取调度策略。
选择单元3022,用于根据所述调度策略从所述至少两个输出的服务响应数据中选择一个作为判断的服务响应数据,或者,根据所述调度策略从所述至少两个工作状态信息中选择一个作为判断的工作状态信息,所述调度策略包括数量择多策略、权重占优策略、随机策略或轮循策略其中的一种或多种组合;
预设范围确定单元3023,用于并根据所述判断的服务响应数据来确定所述预设范围,或者从所述判断的工作状态信息中提取的数据来确定其对应的预设范围。
本实施例提供的一种未知异常检测装置,能够根据比较结果确定被检测设备是否发生了异常,即设备的漏洞和后门是否被触发,尤其是未知的漏洞和后门,这是目前技术难以检测到的。当检测到设备发生了异常之后,可以进一步地指导对该设备进行复位、隔离、或清洗,防止其对网络产生更多更大的危害,进而提升了网络系统的安全性和防御性。
在本申请提供的检测设备中,所述异构功能等价体具体还用于,根据所述服务请求输出服务响应数据,根据所述服务响应数据确定所述被检测部件的服务请求数据的预设范围,以及,在处理所述服务请求的过程中,从所述异构功能等价体的工作状态中提取的数据,并根据所述提取的数据确定从所述被检测部件的工作状态中提取的数据的预设范围。
其中,每个异构功能等价体都具有相同的服务功能。每个异构功能等价体的规模可以是系统、子系统、模块、函数、中间件、构件等。异构功能等价体的功能表达,即为服务请求提供服务的实现方式可以是通过软件、硬件、软硬件等方式实现,异构功能等价体的构建形态可以是刚性的,也可以是通过重构、重组、软件可定义的方式实现功能表达。
本发明实施例还提供了一种计算机存储介质,用于储存为上述图1或图3所示的检测设备或检测装置所用的计算机软件指令,其包含用于执行上述方法实施例所设计的程序。通过执行存储的程序,可以对被检测部件的未知异常的检测。
本发明是参照本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合,这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
尽管在此结合各实施例对本发明进行了描述,然而,在实施所要求保护的本发明过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
本领域技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。计算机程序存储/分布在合适的介质中,与其它硬件一起提供或作为硬件的一部分,也可以采用其他分布形式,如通过Internet或其它有线或无线电信系统。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种未知异常的检测方法,其特征在于,所述方法包括:
获取被检测部件的检测数据,所述检测数据包括:被检测部件输出的服务响应数据,或被检测部件在处理服务请求的过程中,从所述被检测部件的工作状态中提取的数据,或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据;其中,所述从工作状态中提取的数据具体包括:所述被检测部件在处理服务请求的过程中产生的计算数据,和每个异构功能等价体在所述处理服务请求的过程中产生的计算数据;
通过异构功能等价体获取所述检测数据所对应的预设范围,所述异构功能等价体与所述被检测部件的功能相同但结构不同;
分别判断所述被检测部件的服务响应数据是否在其预设范围之内;或者,判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内,或者,判断所述被检测部件的服务响应数据和所述提取的数据是否均在其预设范围之内;
如果否,则确定所述被检测部件处于异常状态。
2.根据权利要求1所述的检测方法,其特征在于,所述通过异构功能等价体获取所述检测数据所对应的预设范围包括:
所述异构功能等价体根据所述服务请求输出服务响应数据,根据所述服务响应数据确定所述被检测部件的服务请求数据的预设范围,或者,
所述异构功能等价体在处理所述服务请求的过程中,从该异构功能等价体的工作状态中提取的数据,并根据所述提取的数据确定从所述被检测部件的工作状态中提取的数据的预设范围。
3.根据权利要求2所述的检测方法,其特征在于,如果获取两个或两个以上异构功能等价体输出的服务响应数据,或者,两个或两个以上所述异构功能等价体从其工作状态中提取的数据,则确定所述预设范围包括:
获取调度策略;
根据所述调度策略从所述至少两个输出的服务响应数据中选择一个作为判断的服务响应数据,或者,根据所述调度策略从所述至少两个工作状态信息中选择一个工作状态信息,并从所述选择的一个工作状态信息中提取数据,所述调度策略包括数量择多策略、权重占优策略、随机策略或轮循策略其中的一种或多种组合;
根据所述判断的服务响应数据来确定所述预设范围,或者从所述选择的一个工作状态信息中提取的数据来确定其对应的预设范围。
4.一种未知异常的检测装置,其特征在于,所述装置包括:
第一获取单元,用于获取被检测部件的检测数据,所述检测数据包括:被检测部件输出的服务响应数据,或被检测部件在处理服务请求的过程中,从所述被检测部件的工作状态中提取的数据,或被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据,其中,所述从工作状态中提取的数据具体包括:所述被检测部件在处理服务请求的过程中产生的计算数据,和每个异构功能等价体在所述处理服务请求的过程中产生的计算数据;
第二获取单元,用于通过异构功能等价体获取所述检测数据所对应的预设范围,所述异构功能等价体与所述被检测部件的功能相同但结构不同;
判断单元,用于分别判断所述被检测部件的服务响应数据是否在其预设范围之内;或者,判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内,或者,判断所述服务响应数据和所述提取的数据是否均在其预设范围之内;
确定单元,用于如果否,则确定所述被检测部件处于异常状态。
5.根据权利要求4所述的检测装置,其特征在于,所述第二获取单元具体用于:
所述异构功能等价体根据所述服务请求输出服务响应数据,根据所述服务响应数据确定所述被检测部件的服务请求数据的预设范围,或者,
所述异构功能等价体在处理所述服务请求的过程中,从该异构功能等价体的工作状态中提取的数据,并根据所述提取的数据确定从所述被检测部件的工作状态中提取的数据的预设范围。
6.根据权利要求5所述的检测装置,其特征在于,如果获取两个或两个以上异构功能等价体输出的服务响应数据,或者,两个或两个以上所述异构功能等价体从其工作状态中提取的数据,则所述第二获取单元还包括:
调度策略获取单元,用于获取调度策略;
选择单元,用于根据所述调度策略从所述至少两个输出的服务响应数据中选择一个作为判断的服务响应数据,或者,根据所述调度策略从所述至少两个工作状态信息中选择一个工作状态信息,并从所述选择的一个工作状态信息中提取数据,所述调度策略包括数量择多策略、权重占优策略、随机策略或轮循策略其中的一种或多种组合;
预设范围确定单元,用于并根据所述判断的服务响应数据来确定所述预设范围,或者从所述选择的一个工作状态信息中提取的数据来确定其对应的预设范围。
7.一种检测设备,用于对被检测部件的工作状态进行检测,其特征在于,所述检测设备包括收发器,处理器和至少一个异构功能等价体,其中,所述异构功能等价体与被检测部件的功能相同但结构不同;
收发器,用于获取被检测部件的检测数据,所述检测数据包括:被检测部件输出的服务响应数据,或被检测部件在处理服务请求的过程中,从所述被检测部件的工作状态中提取的数据,或所述被检测部件输出的服务响应数据和从所述被检测部件的工作状态中提取的数据,其中,所述从工作状态中提取的数据具体包括:所述被检测部件在处理服务请求的过程中产生的计算数据,和每个异构功能等价体在所述处理服务请求的过程中产生的计算数据;
异构功能等价体,用于根据所述服务响应数据确定所述被检测部件的服务请求数据的预设范围,以及,在处理服务请求的过程中从所述异构功能等价体的工作状态中提取的数据,根据所述提取的数据确定从所述被检测部件的工作状态中提取的数据的预设范围,将所述预设范围发送给处理器;
处理器,用于根据所述检测数据和来自异构功能等价体的所述预设范围,分别判断所述被检测部件的服务响应数据是否在其预设范围之内;或者,判断所述被检测部件的工作状态中提取的数据是否在其预设范围之内,或者,判断所述服务响应数据和所述提取的数据是否均在其预设范围之内;如果位于所述预设范围之外,则确定所述被检测部件处于异常状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610853837.XA CN106506449B (zh) | 2016-09-27 | 2016-09-27 | 一种未知异常的检测方法、装置及检测设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610853837.XA CN106506449B (zh) | 2016-09-27 | 2016-09-27 | 一种未知异常的检测方法、装置及检测设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106506449A CN106506449A (zh) | 2017-03-15 |
CN106506449B true CN106506449B (zh) | 2019-12-31 |
Family
ID=58291144
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610853837.XA Active CN106506449B (zh) | 2016-09-27 | 2016-09-27 | 一种未知异常的检测方法、装置及检测设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106506449B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107358105B (zh) * | 2017-06-01 | 2020-05-29 | 珠海高凌信息科技股份有限公司 | 异构功能等价体相异性测量方法,分配方法、装置及设备 |
CN107360149B (zh) * | 2017-07-05 | 2019-08-20 | 中国人民解放军信息工程大学 | 一种基于输出子集权重分配的拟态判决方法及装置 |
CN110149309A (zh) * | 2019-04-04 | 2019-08-20 | 中国人民解放军战略支援部队信息工程大学 | 一种路由器威胁感知方法及系统 |
CN110611672B (zh) * | 2019-09-17 | 2021-08-13 | 中国人民解放军战略支援部队信息工程大学 | 网络空间安全防护方法、服务器设备、节点设备及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8042149B2 (en) * | 2002-03-08 | 2011-10-18 | Mcafee, Inc. | Systems and methods for message threat management |
CN105205394A (zh) * | 2014-06-12 | 2015-12-30 | 腾讯科技(深圳)有限公司 | 用于入侵检测的数据检测方法和装置 |
CN105429963A (zh) * | 2015-11-04 | 2016-03-23 | 北京工业大学 | 基于Modbus/Tcp的入侵检测分析方法 |
CN106161418A (zh) * | 2015-06-01 | 2016-11-23 | 上海红神信息技术有限公司 | 一种异构功能等价体输出服务响应的装置及方法 |
-
2016
- 2016-09-27 CN CN201610853837.XA patent/CN106506449B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8042149B2 (en) * | 2002-03-08 | 2011-10-18 | Mcafee, Inc. | Systems and methods for message threat management |
CN105205394A (zh) * | 2014-06-12 | 2015-12-30 | 腾讯科技(深圳)有限公司 | 用于入侵检测的数据检测方法和装置 |
CN106161418A (zh) * | 2015-06-01 | 2016-11-23 | 上海红神信息技术有限公司 | 一种异构功能等价体输出服务响应的装置及方法 |
CN105429963A (zh) * | 2015-11-04 | 2016-03-23 | 北京工业大学 | 基于Modbus/Tcp的入侵检测分析方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106506449A (zh) | 2017-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12003534B2 (en) | Detecting and mitigating forged authentication attacks within a domain | |
US20210297443A1 (en) | Detecting and mitigating golden ticket attacks within a domain | |
US11128655B2 (en) | Method and system for managing security vulnerability in host system using artificial neural network | |
CN106506449B (zh) | 一种未知异常的检测方法、装置及检测设备 | |
US10262132B2 (en) | Model-based computer attack analytics orchestration | |
US20210258329A1 (en) | System and methods for detecting and mitigating golden saml attacks against federated services | |
Hatef et al. | HIDCC: A hybrid intrusion detection approach in cloud computing | |
US20160065600A1 (en) | Apparatus and method for automatically detecting malicious link | |
US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
CN113711559B (zh) | 检测异常的系统和方法 | |
CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
CN107294953A (zh) | 攻击操作检测方法及装置 | |
CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
CN112749097B (zh) | 一种模糊测试工具性能测评方法、装置 | |
US12081569B2 (en) | Graph-based analysis of security incidents | |
CN108429746B (zh) | 一种面向云租户的隐私数据保护方法及系统 | |
CN111277561A (zh) | 网络攻击路径预测方法、装置及安全管理平台 | |
CN105825130B (zh) | 一种信息安全预警方法及装置 | |
CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
US12052291B1 (en) | Dynamic application security posture change based on physical vulnerability | |
Bharati et al. | A survey on hidden Markov model (HMM) based intention prediction techniques | |
CN105487936A (zh) | 云环境下面向等级保护的信息系统安全性测评方法 | |
JP2014191513A (ja) | 管理装置、管理方法及び管理プログラム | |
US11245703B2 (en) | Security tool for considering multiple security contexts | |
El Attar et al. | Diagnosing smartphone's abnormal behavior through robust outlier detection methods |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |